如何在 Debian 上安装 Zeek 网络安全监视器 12

Linux命令 Edge插件网 11个月前 (01-20) 257次浏览 已收录 0个评论

Zeek,前身为 Bro,是一款功能强大的开源网络安全监控器。它不仅仅是一个典型的入侵检测系统(IDS),而是一个强大的网络分析框架,超越了传统的IDS功能。Zeek 提供对网络运行的实时洞察,帮助您检测和预防安全事件。使用 Zeek 进行网络安全监控的好处很多。它提供网络流量的详细日志记录、可编写脚本的事件驱动分析,以及检测各种网络异常和安全事件的能力。

如何在 Debian 上安装 Zeek 网络安全监视器 12

在 Debian 上安装 Zeek 网络安全监视器 12 书虫

步骤 1。在安装 Zeek 之前,您需要通过执行以下命令来更新和刷新您的 Debian 存储库

<span class="pln">sudo apt update
sudo apt upgrade</span>

此命令将更新升级和新软件包安装的软件包列表。

第2步。在 Debian 上安装 Zeek Network Security Monitor 12.

更新存储库后,您可以开始 Zeek 安装。首先,使用以下命令为 Zeek 软件包添加 GPG 密钥和存储库:

<span class="pln">curl </span><span class="pun">-</span><span class="pln">fsSL https</span><span class="pun">:</span><span class="com">//download.opensuse.org/repositories/security:zeek/Debian_12/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null</span><span class="pln">
echo </span><span class="str">'deb http://download.opensuse.org/repositories/security:/zeek/Debian_12/ /'</span> <span class="pun">|</span><span class="pln"> sudo tee </span><span class="pun">/</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">apt</span><span class="pun">/</span><span class="pln">sources</span><span class="pun">.</span><span class="pln">list</span><span class="pun">.</span><span class="pln">d</span><span class="pun">/</span><span class="pln">security</span><span class="pun">:</span><span class="pln">zeek</span><span class="pun">.</span><span class="pln">list</span>

接下来,通过执行以下命令来更新 Debian 存储库

<span class="pln">sudo apt update</span>

现在,您可以通过执行以下命令来安装 Zeek:

<span class="pln">sudo apt install zeek</span><span class="pun">-</span><span class="pln">lts</span>

安装完成后,您可以使用以下命令检查Zeek二进制文件的位置,检查Zeek版本,并打印Zeek帮助消息:

<span class="pln">which zeek
zeek </span><span class="pun">--</span><span class="pln">version
zeek </span><span class="pun">--</span><span class="pln">help</span>

第 3 步。配置 Zeek

在独立模式下配置 Zeek 的第一步是设置 Zeek 将监控的网络接口。打开节点CFG公司文件位于 $PREFIX/etc/ 目录中,其中 $PREFIX 是 Zeek 安装根目录。默认情况下,如果从源代码安装,则为 /usr/local/zeek,如果从二进制软件包安装,则为 /opt/zeek。例如,如果您的网络接口是“eth0”,则配置将如下所示

<span class="pun">[</span><span class="pln">zeek</span><span class="pun">]</span><span class="pln">
type</span><span class="pun">=</span><span class="pln">standalone
host</span><span class="pun">=</span><span class="pln">localhost
</span><span class="kwd">interface</span><span class="pun">=</span><span class="pln">eth0</span>

如果您计划在集群配置中运行 Zeek,则需要定义记录器、管理器、代理和工作线程的运行位置。对于群集配置,请注释掉(或删除)节点中的 独立节点CFG公司 文件,然后取消注释或添加集群中每个节点(记录器、管理器、代理和工作线程节点条目:

例如,要在由三台机器组成的集群上运行五个 Zeek 节点(两个工作线程、一个代理、一个记录器和一个管理器),集群配置如下所示:

<span class="pun">[</span><span class="pln">logger</span><span class="pun">]</span><span class="pln">
type</span><span class="pun">=</span><span class="pln">logger
host</span><span class="pun">=</span><span class="lit">192.168</span><span class="pun">.</span><span class="lit">1.1</span>

<span class="pun">[</span><span class="pln">manager</span><span class="pun">]</span><span class="pln">
type</span><span class="pun">=</span><span class="pln">manager
host</span><span class="pun">=</span><span class="lit">192.168</span><span class="pun">.</span><span class="lit">1.2</span>

<span class="pun">[</span><span class="pln">proxy</span><span class="pun">-</span><span class="lit">1</span><span class="pun">]</span><span class="pln">
type</span><span class="pun">=</span><span class="pln">proxy
host</span><span class="pun">=</span><span class="lit">192.168</span><span class="pun">.</span><span class="lit">1.2</span>

<span class="pun">[</span><span class="pln">worker</span><span class="pun">-</span><span class="lit">1</span><span class="pun">]</span><span class="pln">
type</span><span class="pun">=</span><span class="pln">worker
host</span><span class="pun">=</span><span class="lit">192.168</span><span class="pun">.</span><span class="lit">1.3</span>
<span class="kwd">interface</span><span class="pun">=</span><span class="pln">eth0

</span><span class="pun">[</span><span class="pln">worker</span><span class="pun">-</span><span class="lit">2</span><span class="pun">]</span><span class="pln">
type</span><span class="pun">=</span><span class="pln">worker
host</span><span class="pun">=</span><span class="lit">192.168</span><span class="pun">.</span><span class="lit">1.3</span>
<span class="kwd">interface</span><span class="pun">=</span><span class="pln">eth1</span>

配置 Zeek 后,您可以使用 zeekctl 命令启动它:

<span class="pln">zeekctl deploy</span>

此命令等同于 Zeek 中的 install 和 start 命令。您可以通过执行 status 命令来检查 Zeek 集群的每个组件的状态 

<span class="pln">zeekctl status</span>

感谢您使用本教程在 Debian 12 Bookworm 上安装最新版本的 Zeek 开源网络流量分析器。如需更多帮助或有用信息,我们建议您查看 Zeek 官方网站


Edge插件网 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:如何在 Debian 上安装 Zeek 网络安全监视器 12
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址